Политика конфиденциальности

1. Юридическое уведомление (Legal Notice)

Контролёр: Finoditax Spółka z ograniczoną odpowiedzialnością, ul. Kawia 23, 42‑202 Częstochowa, Polska · NIP: 9492250781 · REGON: 520205981 · KRS: 0000927391 · e‑mail: info@finoditax.com.

Правовая база: Регламент (ЕС) № 2016/679 («GDPR»); Ustawa z dnia 10 maja 2018 r. o ochronie danych osobowych; Ustawa o rachunkowości; Ordynacja podatkowa; Prawo telekomunikacyjne (art. 173–174); Kodeks pracy; Kodeks cywilny.

Применимость: Политика обязательна для finoditax.com и субдоменов: my.finoditax.com, billing.finoditax.com, support.finoditax.com, help.finoditax.com. При противоречиях преимущественную силу имеет положение, предоставляющее большую защиту субъекту данных.

2. Преамбула и правовые основы

Настоящая Политика устанавливает правила обработки персональных данных в Finoditax, включая сбор, запись, систематизацию, хранение, адаптацию, извлечение, просмотр, использование, раскрытие, сопоставление, ограничение, удаление и уничтожение (art. 4(2) GDPR). Обработка осуществляется на законных основаниях (art. 6), с соблюдением принципов (art. 5), с внедрением мер безопасности (art. 32), реестров (art. 30), DPIA (art. 35–36), уведомлений (art. 33–34), ограничений передачи (гл. V), а также подотчётности (art. 5(2), 24).

3. Определения (art. 4 GDPR)

Термин	Определение
Персональные данные	Информация об идентифицированном/идентифицируемом физическом лице (art. 4(1)).
Обработка	Любая операция над данными (art. 4(2)).
Контролёр	Определяет цели и средства обработки (art. 4(7)).
Обработчик	Действует по поручению контролёра (art. 4(8), 28).
Совместные контролёры	Совместно определяют цели/средства (art. 26).
Нарушение данных	Событие, повлекшее утрату конфиденциальности/целостности/доступности (art. 4(12)).
DPIA	Оценка воздействия на защиту данных (art. 35).
ROPA	Реестр операций обработки (art. 30).
TOMs	Технические и организационные меры (art. 32).

4. Принципы и законность (art. 5–6)

законность, добросовестность, прозрачность;
ограниченность целью и минимизация;
точность и актуальность;
ограниченность сроком хранения;
целостность и конфиденциальность;
подотчётность контролёра.

Основания: art. 6(1)(a–f); специальные категории — art. 9(2); автоматизация — art. 22.

5. Сфера действия и субдомены

finoditax.com — корпоративный сайт (контент, формы, маркетинг, cookies).
my.finoditax.com — панель клиента (аккаунты, отчётность, документооборот).
billing.finoditax.com — биллинг и платежи (инвойсы, транзакции).
support.finoditax.com — тикеты поддержки, SLA, переписка.
help.finoditax.com — база знаний, поведенческие метрики.

Потоки данных между субдоменами

Взаимная передача осуществляется по принципу необходимости, сквозная аутентификация ограничена; используется шифрование TLS 1.3 и журналирование. Для кросс‑доменных сценариев выполняется DPIA и минимизация наборов данных.

6. Роли контролёра и обработчика

Finoditax выступает контролёром персональных данных пользователей сайтов и клиентов; обработчиком — при выполнении договоров бухгалтерского/кадрового обслуживания от имени клиентов. Во втором случае действует договор поручения (art. 28), включающий цели, продолжительность, категории данных, TOMs, субобработку, аудит и возврат/удаление данных.

7. Категории и классификация данных

Идентификационные: имя, фамилия, фирма, NIP, REGON, KRS, PESEL, подпись.
Контактные: адрес, e‑mail, телефон, адрес для корреспонденции.
Финансовые/бухгалтерские: реквизиты, инвойсы, VAT/PIT/CIT, ZUS, отчёты.
Кадровые (клиентов): договоры, зарплата, отпуска, больничные, счёт сотрудника.
Технические: IP, cookies, user‑agent, логи, токены, параметры соединения.
Переписка/поддержка: тикеты, письма, записи звонков (при уведомлении).
Маркетинг/аналитика: подписки, события, отклики, идентификаторы.

8. Матрица целей и правовых оснований

Цель	Категории данных	Основание (GDPR)	Комментарий
Исполнение договора	идентиф., контактные, бухгалтерские	art. 6(1)(b)	создание аккаунта, обслуживание, панель клиента
Юридические обязанности	бухгалтерские, налоговые, кадровые	art. 6(1)(c)	Ustawa o rachunkowości; Ordynacja podatkowa; ZUS
Законные интересы	технические, переписка	art. 6(1)(f)	безопасность, поддержка, доказательство коммуникаций
Маркетинг	контактные, аналитика	art. 6(1)(a)/(f)	согласие на cookies/рассылки
Безопасность	лог‑данные, IP, токены	art. 6(1)(f), 32	журналы, IDS/IPS, расследования инцидентов

9. Источники данных и правовая информация (art. 13–14)

прямо от субъекта данных (формы, договоры, панель клиента);
от клиентов Finoditax (в рамках поручения по art. 28 для кадровых/бухгалтерских процессов);
публичные реестры (KRS, CEIDG, GUS);
гос. системы (ePUAP, PUE ZUS, KAS, e‑Deklaracje);
автоматически — cookies, логи, SDK, метки в письмах.

Информация по art. 13 предоставляется в момент сбора; по art. 14 — не позднее 30 дней либо при первом контакте, либо при первом раскрытии адресату.

10. Сроки хранения (расширенная таблица)

Категория	Срок	Основание
Бухгалтерские документы	5 лет после отчётного года	Ustawa o rachunkowości, art. 74
Налоговые записи	5 лет после налогового года	Ordynacja podatkowa, art. 70 §1
Кадровые/зарплатные	10 лет	Kodeks pracy
Договоры и переписка	3 года после окончания обслуживания	art. 6(1)(f), Kodeks cywilny
Маркетинговые	до отзыва/макс. 3 года	art. 6(1)(a)/(f)
Логи безопасности	до 12 мес.	art. 6(1)(f)
Резервные копии	до 90 дней	art. 5(1)(e)

По истечении сроков применяется безопасное удаление/анонимизация; уничтожение резервных копий — по регламенту хранения.

11. Получатели, обработчики и субобработчики

Госорганы: KAS, ZUS, Urząd Skarbowy, суды (на основании закона).
ИТ‑провайдеры (хостинг, CDN, почтовые сервисы), банки/платёжные операторы, юридические/аудиторские компании.
Аналитические/маркетинговые платформы — только при действующем согласии.
Внутренние получатели Finoditax — по принципу минимально необходимого доступа.

Договоры по art. 28(3) GDPR предусматривают: предмет/длительность, цели и характер, категории данных/субъектов, TOMs, субобработку с разрешением, помощь в выполнении прав субъектов (art. 12–23), возврат/удаление, аудит.

12. Международная передача (гл. V GDPR, SCC/DPF)

Передача в третьи страны допускается при: решении об адекватности (art. 45), соответствующих гарантиях (SCC — art. 46) либо при исключениях (art. 49). Для США — участие поставщика в EU–US Data Privacy Framework и/или SCC, с минимизацией данных и криптографической защитой.

13. TOMs: технические и организационные меры (art. 32)

Шифрование TLS 1.3 при передаче; AES‑256 «в покое»; управление ключами.
Многофакторная аутентификация, RBAC, принцип наименьших привилегий.
Журналирование действий (≥ 12 мес.), контроль целостности логов.
IDS/IPS, антивирус, CSP; защита от XSS/CSRF/SQLi; изоляция сред.
Резервное копирование (до 90 дней), регулярные тесты восстановления.
Обучение персонала, NDA, политика паролей, симуляции фишинга.

14. Cookies, аналитика и маркетинг — расширенная таблица

Согласие на cookies запрашивается баннером (art. 173–174 Prawo telekomunikacyjne). Управление категориями доступно в «Настройках cookies».

Категория	Назначение	Примеры	Срок	Основание
Необходимые	сессии, безопасность, авторизация	session_id, XSRF-TOKEN	сессия	art. 6(1)(b)/(f)
Функциональные	настройки интерфейса	ui_theme, locale	до 12 мес.	art. 6(1)(f)
Аналитические	метрики, конверсии	_ga, _ga_*, _gid	до 24 мес.	art. 6(1)(a)
Маркетинговые	ремаркетинг, эффективность реклам	_fbp, _gcl_au	до 180 дней	art. 6(1)(a)

15. Процедуры DSAR (права субъектов данных)

Подача запроса: e‑mail info@finoditax.com или почта (ul. Kawia 23, 42‑202 Częstochowa).
Верификация личности: уточнение данных/методов связи.
Срок ответа: 30 дней; продление до 60 при сложности (art. 12(3)).
Форма предоставления: электронная/письменная, машинно‑читаемая (при переносимости).
Отказ/ограничение: при правовых препятствиях с уведомлением и правом жалобы в UODO.

Доступ: art. 15; исправление: art. 16; удаление: art. 17; ограничение: art. 18; переносимость: art. 20; возражение: art. 21; автоматизация: art. 22 (не применяется).

16. Инциденты, 72‑часовое уведомление, реестр

Фиксация и изоляция инцидента; оценка риска и масштабов.
Уведомление UODO ≤ 72 часов (art. 33); уведомление субъектов при высоком риске (art. 34).
Устранение причин, профилактика, обучение, обновление TOMs.
Ведение регистра нарушений (Breach Register) и отчётности.

17. DPIA/ROPA и подотчётность

Finoditax ведёт ROPA (art. 30), проводит DPIA (art. 35) для процессов с высоким риском (масштабная обработка, кросс‑доменные интеграции, данные сотрудников клиентов), документирует риски, меры и остаточный риск; при необходимости консультируется с UODO (art. 36). Подотчётность — art. 5(2), 24.

18. Изменения, коллизии, приоритеты

Новая редакция вступает в силу с публикации. При коллизиях приоритет имеет положение, обеспечивающее большую защиту субъекта данных. Недействительность отдельного положения не влияет на действительность остального документа (severability).

19. Контакты и надзорный орган

Finoditax Sp. z o.o. · ul. Kawia 23, 42‑202 Częstochowa, Polska · NIP: 9492250781 · REGON: 520205981 · KRS: 0000927391 · e‑mail: info@finoditax.com · finoditax.com

UODO — Urząd Ochrony Danych Osobowych, ul. Stawki 2, 00‑193 Warszawa · +48 22 531 03 00 · uodo.gov.pl